анализ ИБ от Силверана

[Eldar Ishimbaev]

Цитата:

Сообщение от sbssoft

Эти уязвимости я смогу прочитают и в на других сайтах.
Зачем мне за нова прочитать (это похож к вашему ВЕЛОСИПЕДУ )

Эти уязвимости применимы к сайтам и серверам именно в нашем национальном сегменте.

Цитата:

Сообщение от sbssoft

Я знаю у вас тоже тот же АПАЧ как у всех (Может есть разница в версиях)
Может я не смог написать в норме.
Вот например: в на сайте yoursite.com спецы СЕРТа нашли дырки , используя его можно сделать СИКУЕЛ инжектион. Причина: их скрипт не было защищено от СИКУЕЛ инжектион. По этому такие скрипты надо защищать вот таким то способом. Или в настройка АПАЧ надо изменить значения мажик_куотес_жпс вот так. После этого случиться вот что ...
Или это похож к ВЕЛОСИПЕДу, А

Ни в коем случае это не похоже на ВЕЛОСИПЕД. Это ВЕЛОСИПЕД и есть. Зачем приводить общеизвестную информацию и говорить о ней как о новом открытии? Или я что-то не понимаю или формируйте свои мысли четче.

[silveran]

я рад что наконецто мы стали говорить по теме. хорошо!
итак к вопросам о велосипедах- да ПО у всех стандартное и настройку в сети найти можно как делать нечего, а дыры и их использоваия куда расширеннее и удобнее сможет показать тот же ачат, но мы говорим о ИБ, вот есл быскажем сотрудники церта писали видео ролики какие есть дыры и самое главное как настроить ПО чтоб ликвидировать их- вот ето было бы интересно. видео как защитить пока не существуе ((( чтоб пользователь мог скачать и повторив как обезьяна смог правильно настроить ПО, к примеру я писал видео для сримовцев как пользоваться батом и фотошопом, видео о защите.
на счёт гос сайтов- извените- но к примеру сайт нац суда- он на хосте узнета- и кому скажите понадобится его ломать? ну сломают .. минутный бекап и он снова в строе, тем более на у хостеров нет финансово важной инфы, гос сайты просто не выкладывают (есть конечно исключения но ето другой вопрос), а вот если их перенести на отдельный сервер, вот ето уже куда опаснее ИМХО.
С Уважением Силверан!!!

[Botirbek Samandarov]

Цитата:

Зачем приводить общеизвестную информацию и говорить о ней как о новом открытии?

Я не сказал что ВЫ тоже повторите. В этих общеизвестных информациях написано поверхность.
Я хотел что ВЫ написали реальные по другому.
И в на сайте СЕРТа тоже были такие интересные статьи (хай , может тот же копия, с указанием источника). А что так нельзя чтоли. Не все начинающие знает такие источники, или многие эти источники в на енглиш. Наверно переводить вам не трудно.
Все это мои предложении - а как его принят, вы сами решаете.

[Djalolatdin Rakhimov]

Цитата:

Сообщение от silveran

вот есл быскажем сотрудники церта писали видео ролики какие есть дыры и самое главное как настроить ПО чтоб ликвидировать их- вот ето было бы интересно.

сотрудники церт уже предлагали подобное. Если не ошибаюсь, это все еще не выпало из планов работы. Но они уточнят.

Цитата:

видео как защитить пока не существуе ((( чтоб пользователь мог скачать и повторив как обезьяна смог правильно настроить ПО,

надеюсь, что пользователи поймут, что это аллегория, и не обидяться на автора

Цитата:

к примеру я писал видео для сримовцев как пользоваться батом и фотошопом, видео о защите.

в целом согласен. не зря же делают скриншоты в манулах.

Цитата:

на счёт гос сайтов- извените- но к примеру сайт нац суда- он на хосте узнета- и кому скажите понадобится его ломать?

это частности. сайты бывают разные. Если всмомним массовое падение сайтов на Узнете, то это довольно сильно бьет по имиджу страны, не важно, что на сайтах -- показывает отношение страны к вопросам ИКТ и ИБ. Уже именно поэтому это важно!

Цитата:

ну сломают .. минутный бекап и он снова в строе,

но в итоге так не оказалось!

Цитата:

а вот если их перенести на отдельный сервер, вот ето уже куда опаснее ИМХО.

да, технологически концентрация в одном месте хуже, но если учесть, что распределение ресурсов сделано на хостах вообще со слабой защитой, то здесь можно и поспорить. Важные документы не хранят у разных людей в полках стола, а в одном сейфе. Здесь можно много дискутировать, но в нашем слачае централизация данных ресурсов, их изоляция от других (коммерческих) ресурсов с меньшей категорией важности, хостинг на отдельных машинах с горячим резервом, думаю, пересиливает.

[Djalolatdin Rakhimov]

Цитата:

Сообщение от sbssoft

Я не сказал что ВЫ тоже повторите. В этих общеизвестных информациях написано поверхность.
Я хотел что ВЫ написали реальные по другому.
И в на сайте СЕРТа тоже были такие интересные статьи (хай , может тот же копия, с указанием источника). А что так нельзя чтоли. Не все начинающие знает такие источники, или многие эти источники в на енглиш. Наверно переводить вам не трудно.
Все это мои предложении - а как его принят, вы сами решаете.

В целом создание что-то типа FAQ, но расширенно, как база case study - не помешает

[silveran]

Уважаемый Джалолитдин, раз вопрос о видео стоит в планах церта, то простите за офтоп- можете расчитывать на мою помощь если она конечна будет необходима.
может ещё стоит сделать так сказать тестовый сервер, где каждый любитель мог опробывать свои навыки по настройке По и Иб в целом.
на счёт сайтов, да мы все помним 69 атакованных сайтов, и почему бек ап не помог, могу ошибаться но ето только вопрос бюрократии.
с одной стороны Вы правы- сотредоточивание их в одном защищённом месте может помочь, если оно будет правда качественно защищенно, хотя.... нет извените меня- думаю спор по етому вопросу будет чисто гипотечиский и без результатный, всё равно будет так- как должно быть!
на счёт он лаин сканеров- согласитесь для хорошей работы подобные ресурсы должны быть на высокоскоросных "дедиках" не ниже сановских серверов, и регистрация желающих проверки должна быть офиальной (я имею ввиду с бумажным контрактом), а то кто мешает какому нить Васи Пупкину из бразилии где много диких абезьян проверить через етот ресурс скажем саркор и тпс и уничтожить таш-х как он есть.
С Уважением Силверан!!!

[N3rD]

Uvajaimiy Silveran prastiteza translit ya uvidel shtovi atkrivayete konsaltingovuyu kompaniya no ya vami paradilsy ya toje spetsalis po informatsiyonay bezapasnosti no ya bi gatel imt takova spedsalista kak vi u sebya na firme ya pridlagayu vam rabotat umnya ya dam vazojna samuyu balshuyu zarplatu v uzbekitane yesl vi pridyote kamne rabotat na firmu pajalusta svejites samnoy pabistrey moy ICQ : 1-825-911 ili Email : hack-zver@inbox.ru
ya budu jdat vashiva atveta

[Botirbek Samandarov]

Цитата:

Сообщение от N3rD

Uvajaimiy Silveran prastiteza translit ya uvidel shtovi atkrivayete konsaltingovuyu kompaniya no ya vami paradilsy ya toje spetsalis po informatsiyonay bezapasnosti no ya bi gatel imt takova spedsalista kak vi u sebya na firme ya pridlagayu vam rabotat umnya ya dam vazojna samuyu balshuyu zarplatu v uzbekitane yesl vi pridyote kamne rabotat na firmu pajalusta svejites samnoy pabistrey moy ICQ : 1-825-911 ili Email : hack-zver@inbox.ru
ya budu jdat vashiva atveta

Наверно этого топика тоже закроет.
В правилах форума написано, здесь запрещено реклама (твои похож на самореклама)
Или я ошибаюсь

[silveran]

Цитата:

Сообщение от sbssoft

Наверно этого топика тоже закроет.
В правилах форума написано, здесь запрещено реклама (твои похож на самореклама)
Или я ошибаюсь

Не опибаетесь)) но кто хоть раз не делал себе саморекламу и не переступал через правила!?))
но всё равно если ето и вправду нарушает правила- сам затру!
С Уважением Силверан!!!
да и потом цель топа не обсуждение меня а ИБ в целом- не забывайте ето !

[Ivan Lodyanoy]

Цитата:

Сообщение от N3rD

Uvajaimiy Silveran prastiteza translit ya uvidel shtovi atkrivayete konsaltingovuyu kompaniya no ya vami paradilsy ya toje spetsalis po informatsiyonay bezapasnosti no ya bi gatel imt takova spedsalista kak vi u sebya na firme ya pridlagayu vam rabotat umnya ya dam vazojna samuyu balshuyu zarplatu v uzbekitane yesl vi pridyote kamne rabotat na firmu pajalusta svejites samnoy pabistrey moy ICQ : 1-825-911 ili Email : hack-zver@inbox.ru
ya budu jdat vashiva atveta

ИМХО, больше похоже на цирк, а не на саморекламу...